Enlaces rápidos

    Por Luis Gonçalves*

    Las organizaciones en América Latina están invirtiendo en ciberseguridad; sin embargo, están acumulando silenciosamente una responsabilidad que no aparece en ningún estado financiero: una brecha crítica entre la confianza de la alta dirección en su preparación y la capacidad real de sus sistemas para recuperarse de un ataque sofisticado. El estudio Cyber Resilience Perspectives de Dell Technologies llama a esto deuda de resiliencia. Y su costo puede superar cualquier inversión en tecnología.

    Un problema de diagnóstico, no de inversión

    La ciberseguridad ya se ha ganado un lugar en las juntas directivas, los comités de auditoría y los planes de inversión en toda la región. Esto es un signo de madurez. Sin embargo, los datos nos invitan a ir más allá de esa conversación.

    El 56% de los ejecutivos en LATAM reconoce que la alta dirección sobreestima la preparación de su organización para un ciberataque. Esto no es un problema técnico, es un problema de diagnóstico. Y cuando el diagnóstico es incorrecto, también lo son las decisiones que se toman basándose en él.

    La deuda de resiliencia surge en ese espacio intermedio: la distancia entre lo que una organización cree que es capaz de hacer y lo que realmente puede lograr cuando enfrenta un incidente grave. Aunque no siempre es visible, sus efectos se sienten de manera muy concreta.

    Lo que revelan los números

    La evidencia operativa ayuda a cuantificar esta brecha. Aunque la mayoría de las empresas han invertido en herramientas de seguridad, el 44% admite que sus pruebas no simulan de manera realista las técnicas de ataque modernas. Solo el 39% ha alcanzado un alto nivel de automatización en la respuesta a incidentes. Y apenas el 37% de las organizaciones en LATAM ha probado realmente sus planes de continuidad del negocio.

    En términos simples: muchas organizaciones no saben con certeza cómo responderían ante un incidente grave. Y esa incertidumbre—aunque permanezca invisible para la alta dirección—es precisamente lo que alimenta el crecimiento de la deuda de resiliencia.

    El contexto global refuerza la urgencia. El 66% de las organizaciones a nivel mundial anticipan interrupciones significativas por ciberataques en los próximos 12 a 24 meses. El entorno ya asume que los incidentes ocurrirán. La pregunta no es si sucederá un ataque, sino qué tan preparada está la organización para responder cuando ocurra.

    La deuda se acumula mientras se realizan inversiones

    Lo más sorprendente de este fenómeno es que ocurre junto con un aumento en las inversiones. Las organizaciones asignan recursos crecientes a herramientas de protección y, al mismo tiempo, acumulan deuda de resiliencia porque esas herramientas no se prueban en condiciones reales, porque los esquemas de automatización están diseñados para amenazas conocidas, y porque la sofisticación de los ataques—acelerada por la inteligencia artificial—evoluciona más rápido que los modelos internos de evaluación.

    Una organización puede invertir mucho y aun así no estar realmente preparada. Esa brecha es, en esencia, la deuda de resiliencia.

    Te interesa: Empresas de software se enfrentan a mayores costos de endeudamiento y a un escrutinio más duro mientras la IA amenaza a las empresas

    Un cambio de mentalidad

    Durante años, la ciberseguridad se trató como un problema de prevención: evitar el ataque. Ese modelo ya no es suficiente. Los incidentes no son una posibilidad, son una certeza operativa. La pregunta que ahora define la madurez de una organización no es cuántas herramientas tiene, sino qué tan rápido puede recuperarse.

    Esto convierte la ciberresiliencia en un tema empresarial: uno de continuidad operativa, impacto financiero y reputación. Y, como tal, exige el mismo rigor con el que se gestionan otros indicadores críticos en la junta directiva.

    La onversación que la Alta Dirección Necesita Tener

    Reducir la deuda de resiliencia no comienza en el departamento de TI. Comienza con las preguntas correctas a nivel ejecutivo:

    • ¿Qué tan rápido puede nuestra organización reanudar operaciones después de un ataque?
    • ¿Qué sistemas son realmente críticos y los estamos protegiendo como tales?
    • ¿Bajo qué escenarios estamos evaluando nuestra preparación, y reflejan las amenazas reales de hoy?
    • ¿Cómo medimos la resiliencia: con métricas de implementación o con indicadores de desempeño real?

    Mientras la ciberseguridad se evalúe en función del gasto y no de capacidades validadas, la deuda de resiliencia seguirá aumentando. La resiliencia se demuestra en la ejecución. 

    En un entorno donde los ataques son inevitables, la ventaja competitiva estará en saber con precisión hasta dónde se puede responder y operar en consecuencia. Hoy, el mayor riesgo no es la vulnerabilidad, sino la falta de visibilidad sobre ella.

    Sobre el autor:

    *Luis Gonçalves, Presidente de Dell Technologies Latinoamérica.

    Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.

    Síguenos en Google Noticias para mantenerte siempre informado